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SDN 场景 中 基于 双向 流量 特征 的 DDoS 攻击 检测 方法 
陈 ， 超 ， 曹 晓 梅 


(南京 邮电 大 学 计算 机 与 软件 学 院 ， 南京 210000) 


摘 要 : 传统 网 络 资源 的 分 布 式 特性 使 得 管理 员 较 难 实现 网 络 的 集中 管控 ， 在 分 布 式 拒绝 服务 攻击 发 生 时 难以 快速 准 
确 地 检 出 攻击 并 溯源 。 针 对 这 一 问题 ， 结 合 软 件 定义 网 络 集中 管控 、 动 态 管理 的 优势 和 分 布 式 拒绝 服务 攻击 特点 ， 首 
先 引 入 双向 流量 概念 ， 提 出 了 攻击 检测 四 元 组 特征 ， 并 利用 增长 型 分 层 自 组 织 映 射 算法 对 网 络 流 中 提取 的 四 元 组 特征 
向 量 快速 准确 地 分 析 并 分 类 ， 同 时 提出 了 一 种 通过 自 适应 改变 监控 流 表 粒度 以 定位 潜在 受害 者 的 检测 方法 。 仿 真实 验 
结果 表明 ， 提 出 的 四 元 组 特征 及 下 发 适量 监控 流 表 项 的 检测 算法 能 以 近似 96% 的 准确 率 检 出 攻击 并 定位 受害 者 ， 且 对 
控制 器 造成 的 计算 开销 较 小 。 
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Distributed denial of service attack detection based on bidirectional traffic 
feature in software defined network 
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Abstract: The distributed nature of traditional network resources makes it more difficult for administrators to realize the 
centralized control of the network. It is difficult to quickly and accurately detect and trace the DDoS attacks when distributed 
denial of service attacks occur. To solve this problem, combined with the advantages of centralized management and control of 
software defined network, the advantages of dynamic management and the characteristics of DDoS attacks, this paper first 
introduced the concept of bidirectional traffic feature, put forward the four-tuple characteristics of attack detection and made use 
of the growth hierarchical self-organizing map algorithm to analyze and classify the quaternion eigenvectors extracted from 
network flows quickly and accurately. At the same time, this paper proposed a new detection method that locates potential 
victims by adaptively changing the granularity of flow table. Simulation results show that the four-tuple features, as well as the 
detection algorithm issuing the monitoring flow entry, can detect DDoS attacks and pinpoint the victim with accuracy of nearly 
96%, and the computational overhead for the controller is small. 
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0 引言 合 是 未 来 发 展 的 趋势 ， 因 此 SDN 场景 下 的 DDoS 攻击 检测 成 
一 为 近 些 年 研究 的 热点 。 


软件 定义 网 络 (software-defined networks,SDN) 技 术 可 以 使 文献 [3] 将 SDN 场景 中 的 DDoS 攻击 分 为 OpenFlow 交换 
网 络 管理 员 根 据 网 络 实际 状况 动态 更 新 网 络 流 规则 ， 极 大 地 简 几 流 表 攻击 和 SDN 控制 层 带 宽 攻 击 两 类 。 本 文 主要 研究 后 


过 


H 


ES 


化 了 网 络 管理 的 复杂 性 口 。 得 益 于 这 种 集中 式 的 网 络 管控 能 力 ， 种 攻击 ， 而 利用 SDN 控制 器 集中 管控 和 可 编程 特性 对 网 络 流 
学 术 界 和 工业 界 对 于 SDN 的 研究 逐年 升温 。 然 而 ，SDN 网 络 。” 量 进行 审查 分 析 是 其 经 典 的 检测 方法 。 
其 特有 的 转 控 分 离 的 架构 模式 也 引入 了 更 多 的 安全 威胁 。 据 卡 Braga 等 人 四 利用 SDN 控制 器 的 可 编程 特性 和 SOM 算法 


巴 斯 基 发 布 的 2017 安全 报告 显示 , DDoS 攻击 较 去 年 在 攻击 次 ”分 类 计算 时 计算 量 小 的 优势 ， 提 出 了 一 种 基于 流量 特征 属性 的 
数 和 持续 时 间 上 均 呈 上 升 态 势 所 ,而 传统 网 络 与 SDN 网 络 的 融 DDoS 攻击 检测 方案 。 实 验 结果 表明 ， 利 用 流量 特征 属性 检测 
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大 ， 因 此 本 文 结 合 SDN 高 效 下 发 流 表 
及 GHSOM 算法 分 类 优势 ， 提 出 了 一 种 SDN 场景 下 基于 双向 
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攻击 特点 , 为 


并 未 考虑 SDN 交换 机 流 表 存储 空间 大 小 的 限制 ， 这 在 一 定 程 。 准确 检 出 DDoS 攻击 ， 本 文 引入 双向 流 概念 ， 提 出 了 基于 目的 
度 上 限制 了 文章 算法 的 适用 性 。 IP 地 址 的 DDoS 检测 四 元 组 特征 ;b) 考 虑 到 OpenFlow 交换 机 

Mousavi 等 人 铝 通 过 统计 恒定 数量 网 络 数据 包 目 的 卫 地 址 流 表 空间 大 小 的 限制 ， 本 文 提 出 了 一 种 流 表 项 监控 粒度 自 适 应 
HRE, 并 判断 其 是 否 小 于 指定 阔 值 的 方法 来 确定 当前 SDN 网 调整 的 策略 ; c) 利 用 GHSOM 算法 对 SDN 网 络 中 提取 到 的 四 元 
络 是 否 遭 受 DDoS 攻击 。 虽 然 此 检测 方法 具有 开销 低 的 优点 ， 组 特征 向 量 分 析 并 分 类 , 之 后 在 基于 Ope-nDayLight 的 SDN 仿 
但 在 阔 值 的 确定 上 需要 提前 进行 大 量 的 样本 实验 或 依靠 专家 经 真 平台 上 分 析 了 所 提 检 测算 法 的 可 行 性 及 检测 性 能 。 


Ie, 与 此 同时 ，DDoS 攻击 种 类 众多 ， 在 
， 因 此 仅 选 取 单 一 的 特 和 


出 多 样 性 的 特点 


网 络 


流量 特征 上 呈现 


E 属 性 显然 不 能 


保证 


DDoS 攻击 的 高 检 出 率 。 针 对 这 一 问题 ，Yan 等 人 的 将 流 请 求 速 


AE. EB IP Hob fü. 


的 端口 


Ai (ELITS. IP. 地 址 粒 值 这 


流量 特征 作为 评价 因素 集 ， 利 用 模糊 数学 中 的 


法 对 不 同 程度 的 


DDoS Jii kfg SR 
方法 中 评价 因素 的 初始 最 优 权 习 


变更 难以 做 到 


组 ， 并 利 


organization ma 


自 适 应 ， 
姚 琳 元 等 人 中 提出 了 基于 
增长 型 分 
GHSOM) SEVE XT CS 


K 


模糊 综合 评判 方 


层 自 组 


行 分 析 分 类 处 理 ， 以 有 效 检 出 DDoS 攻击 受害 


Er. MATIS 


EBORE, 


且 对 于 网 络 场景 的 


N 


22 ACE MZ 
综合 评判 


此 该 检测 方法 有 进一步 改进 的 余地 。 
网 络 对 象 目的 全 地 址 的 检测 七 元 
织 


ZA 


映射 (growing hierarchical self- 


明 ， 所 提 七 元 组 的 加 权 检 测 率 接 近 90%, 
的 开销 基本 可 忽略 。 然 而 文章 未 考虑 收集 网 络 流量 过 程 中 对 于 


SDN 交换 机 流 表 空间 大 小 的 影响 ， 
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武 译 慧 等 人 外 构建 了 一 利 
换 机 洗 牌 模型 ， 通 过 在 交换 机 上 部 署 光 


时 到 的 七 元 组 特征 向 量 进 


者 。 实 验 结果 表 
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2 DDoS 分 类 检测 四 元 组 特征 
为 了 精确 检 出 DDoS 攻击 ， 系 统 需要 提取 简单 高 效 的 网 络 
流量 特征 。 在 DDoS 攻击 发 生 时 ， 对 于 受害 者 而 言 ， 其 接收 的 
网 络 数据 包 无 论 在 大 小 上 还 是 数量 上 均 异 常 增长 ， 与 此 同时 ， 
在 DDoS 攻击 发 生 时 受害 者 端 进出 双向 之 间 的 数据 包 特 征 差异 


存储 也 应 当 作为 DDoS 检测 重点 考虑 的 因素 。 同 时 ，GHSOM 
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知 的 , 因此 系统 需要 监控 网 络 中 尽 可 能 多 的 IP 地 址 , 然而 考虑 
到 交换 机 流 表 空 间 的 限制 和 检测 实时 性 要 求 ， 系 统 需要 保证 所 
监控 的 他 网 段 的 范围 及 数量 尽 可 能 的 小 。 据 OpenFlow 协议 和 
SDN 流 表 规则 定义 09，SDN 网 络 中 每 一 个 人 P 网 段 都 是 由 相同 
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D, PCA 地址 段 内 
D, _BCA ”地 址 段 内 


缩写 你 
D, PC 地 址 段 内 应 的 平均 数据 包 的 数量 
D,.BC ”地址 段 内 应 的 平均 数据 包 的 大 小 


FE 均 双向 数据 包 数 量 差 值 
平均 双向 数据 包 大 小 差 值 


标 遭 到 DDoS 攻击 时 , 其 接收 到 的 数据 


会 发 生 异常 变化 ， 与 此 


3 DDoS 攻击 检测 流程 

SDN 网 络 中 受害 
包 目 的 地 址 单一 ， 且 数据 包 大 小 和 数量 
同时 ， 其 进出 双向 数 提 
据 这 一 特征 , 本 文 提出 了 SDN 场景 
攻击 检测 方案 。 
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待 全 网 网 络 地 址 段 划分 完成 后 ,为 了 初始 化 监控 网 段 范围 ， 
系统 首先 下 发 交换 机 初始 监控 流 表 项 ， 


居 包 大 小 和 数量 差异 也 会 越发 明显 [中 。 根 


于 双向 流 特征 的 DDoS 


之 后 为 更 加 精确 检 出 


的 网 络 前 级 构成 的 ， 因 此 初始 化 阶段 系统 首先 需要 利用 网 络 前 
级 匹配 规则 ， 将 PoP 入 网 点 内 前 缀 相同 的 IP 地 址 集合 划分 在 
同一 个 卫 网 段 内 ， 为 防止 IP. 集合 不 能 被 单独 的 一 条 前 级 匹配 
规则 匹配 ， 系 统 需 要 自动 划分 卫 集合 直到 所 有 监控 IP 能 被 完 
整 划 分 为 止 。 与 此 同时 ， 为 了 提取 网 络 流 特征 ， 假 设 存在 一 源 
IP 地 址 段 RS 和 目的 人 P 地 址 段 及 ， 系 统 需要 统计 从 源 卫 到 


的 IP 之 间 所 有 的 可 能 路 由 ， 即 ，{(s,), Vs e RS vre R') se 


于 网 络 流 源 卫 与 目的 人 P 之 间 的 双向 性 ， 与 之 对 应 的 需要 统计 


的 JP 到 源 公 之 间 的 路 由 ， 即 ，{(1,s),vieR',vs eR’)。 


统计 完成 后 ， 本 文 将 每 一 对 源 、 目 的 I 了 P 地 址 对 的 网 络 数据 包 交 


T, Ws {R R) ios Mil f. 


初始 网 络 地 址 段 划分 
ANNE 
监控 流 表 项 下 发 策略 


流 信息 采集 


元 组 提取 


针对 受害 者 的 监控 | as 
流 表 项 自 适应 变化 | 会 人 下 发 


图 2 系统 DDoS 攻击 检测 整体 流程 


3.2 ”交换 机 监控 流 表 下 发 策略 
32.1 监控 流 表 项 生成 策略 

在 初始 化 阶段 IP 地 址 段 划 分 完成 后 ， 为 了 精确 检 出 DDoS 
攻击 ,系统 需要 初始 化 网 络 中 潜在 受害 者 的 了 P 网 段 范围 ， 同 时 
下 发 对 于 网 络 中 每 道 流 f 的 初始 监控 流 表 项 。 一 般 而 言 ， 丰 
种 关于 监控 流 表 项 的 生成 策略 。 第 一 种 策略 是 对 于 每 一 个 潜在 
受害 者 IP 网 段 均 设置 一 条 监控 流 表 项 。 假设 现 行 网 络 中 存在 两 
道 网 络 流 : A 僵 B 和 B 一 A, 因 此 系统 会 生成 A 一 B 和 了 B 一 


cH 


取 网 络 流 四 元 组 特征 ， 运 行 


DDoS 攻击 检测 算法 ， 逐 次 迭代 更 新 监控 流 表 粒度 ， 从 而 逐步 


缩小 包含 受害 者 的 网 段 大 小 ; 
正 遭 受 DDoS 攻击 ， 继 而 下 发 


整体 流程 如 图 2 所 示 。 


3.1 


Presence)03 级 别 的 ;， b) 任 意 两 个 PoP 级 路 
经 过 相同 的 SDN 交换 机 。 


初始 状态 下 ， 检 测 系统 对 于 网 络 是 否 发 生 DDoS 攻击 是 未 


初始 状态 网 络 地 址 段 的 划分 


名 害 者 ， 系 统 判定 网 络 


| 断 发 往 受 害 者 的 流量 。 其 


通常 DDoS 攻击 对 于 实施 平台 具有 一 定 的 依赖 性 ， 因 此 本 
文 提出 以 下 两 点 合理 假设 : a) SDN 网 络 拓扑 是 PoP(Point-Of- 


器 之 间 的 网 络 流量 


A 两 条 监控 规则 ， 但 若 系统 判定 A、B 间 皆 可 能 存在 受害 者 进 
而 需要 更 细 粒 度 生成 监控 规则 时 , 系统 对 于 地 址 段 A 会 产生 Al 
>B, A2 > B,B — Al fll B A2 四 条 监控 策略 ; 同时 ， 对 
于 地 址 段 B ÆR A — BLA — B2,BI > A fll B2 > A JA 
监控 规则 ， 故 一 共生 成 了 8 条 监控 规则 ， 而 第 二 种 生成 策略 是 
仅 生 成 一 条 监控 条 目 同时 负责 监控 源 和 目的 地 址 段 ， 一 旦 源 和 
的 地 址 段 内 均 被 怀疑 有 受害 者 ， 则 系统 需要 更 细 粒 度 的 划分 
源 和 目的 地 址 段 。 例 如 当 系 统 想 利用 第 二 种 生成 策略 审查 地 址 
段 A 和 B 的 流量 ， 则 会 生成 Al Bl, A2 Bl, Al B2, 
A2 B2, BI — AI, B2 Al, B1 — A2 fll B2 > A2 八条 


A ES 
监控 条 目 


上 述 分 析 可 知 ， 若 系统 为 细 粒 度 监控 审查 地 址 段 A 和 也 


的 流量 ， 将 其 网 络 范围 细 分 为 k 段 ， 对 于 第 一 种 监控 规则 生成 
策略 ， 针 对 地 址 段 A 和 B 总 共 会 产生 4k 条 监控 条 目 ; 而 对 于 


生成 策略 ， 将 总 共 会 产生 2k? 条 监控 条 目 。 当 k >2 时 ， 


第 一 种 方法 将 产生 更 少 的 监控 流 表 规 则 。 因 此 ， 为 了 尽 可 能 地 
交换 机 TCAM 流 表 空间 , 本 文选 用 第 一 种 监控 流 表 生 成 策 


3.2.2 监控 流 表 项 更 新 策略 
系统 用 算法 1 来 迭代 更 新 交换 机 监控 流 表 项 。 首 先 ， 系 统 


[对 [9 R) 中 的 每 道 流 f. 创建 一 条 单独 的 监控 流 表 项 , 即 


f =1。 在 检测 时 ， 系 统 仅 关心 可 疑 受 害 者 IP 地 址 段 的 


监控 粒度 大 小 。 初始化 阶段 系统 将 全 网 监控 粒度 G 设置 为 一 个 


较 大 的 值 Gupper , 在 后 续 迭 代 中 逐步 缩小 潜在 受害 者 P 范围 并 


cpa 


Chi | 
BR 超 ， 等 : SDN 场景 中 基于 双向 流 na Ms SANE 


这 里 不 作 详 述 。 


逐步 减 小 监控 粒度 G ; 同时 ， 逐 次 迭代 过 程 系统 


均 需 确定 网 络 


中 所 有 监控 网 段 最 大 的 监控 粒度 Cnax ， 并 将 其 


范围 缩小 为 原来 的 一 半 ， 随 即 生成 两 条 监控 流 表 。 


审查 的 地 址 段 
然而 更 新 流 


重复 , 因此 为 了 


项 粒度 后 不 同 卫 地 址 段 的 监控 流 表 项 可 能 会 
进一步 节省 交换 机 TCAM 空间 需要 进行 去 重 操作 , 逐步 更 新 每 
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道 流 太 的 监控 流 表 Ny 。 在 控制 器 端 计算 得 到 待 下 发 的 监控 流 


表 项 之 后 ， 系 统 会 用 32.3 节 所 述 的 合法 性 检查 算法 检验 监控 
页 下 发 的 合法 性 ,一 旦 满足 要 求 ,控制 器 便 会 下 发 流 表 项 ， 


轮 迭 代 过 程 ， 否 则 系统 将 默认 返回 上 


一 次 迭代 过 程 


chinaXiv 


的 监控 流 表 配置 ， 并 且 最 小 的 监控 粒度 就 是 上 一 轮 和 迭代 过 程 搜 
| 的 Gimax o 

3.2.3 流 表 策 略 下 发 合法 性 检查 

对 于 3.2.2 节 监 控 流 表 下 发 而 言 ， 最 关键 的 是 要 考虑 所 生 


成 的 监控 流 表 项 所 需 占 用 的 交换 机 的 空间 大 小 {Ny, Vf. € F) 


和 否 能 得 到 满足 。 此 类 问题 可 以 转换 为 求解 网 络 流 中 经 典 的 最 


A ER SE 
查 的 数学 模型 。 


下 发 合法 性 检 


害 者 位 


算法 1 受害 者 检测 过 程 监控 流 表 项 自 适 应 策略 (D) 


F : 网 络 流 集合 ; R : 监控 路 由 规则 集合 ; N, : 对 于 具体 网 络 流 
f 的 监控 流 表 项 


2: Initialize monitor granularity to be G upper 


Initialize monitor rules R for flows in F at granularity Gupper; 
Calculate Ny, for all f € F 
if Placement( N;, Nz, ... 
Raise Error 


Np) is not Feasible then 


6: end if 
7: while 1 do 


18 


19 


Gmar = maximum victim range granularity of all rules in R 

R=R 

for all rules r € R with victim r ange granularity G,,,, do 
Partition victim IP range into two halves: 
Replace r with two new rules in R; 

end for 

Remove redundant rules and Update Ny, for all f € F 

based on £i: 
if Placement ( N;. N2, 


Return Gmaz and the previous rule set R 


Np) is not Feasible then 


and the associated allocation 
Break 
end if 
R-£ 


20. end while 


» TH 


Na 


图 3 监控 流 表 项 下 发 最 大 流 问题 数学 模型 


监控 流 表 项 粒度 的 自 适应 变化 
为 了 精确 检 出 DDoS 攻击 ， 本 文 检测 算法 需要 精确 定位 受 


EAEE 


模型 由 四 种 节点 构成 , BD start 节点 9 . terminate WAT ~ 


网 络 流 节 点 Uf ie F) 和 交换 机 节点 {5j,J eS}。 


S 节点 和 所 


有 流 节点 fi 相连 并 且 S 节点 与 节点 之 间 的 链 路 容量 代表 S 
到 了 的 监控 流 表 项 所 需 占 用 的 交换 机 TCAM 流 表 空 间 大 小 。 假 


设 正 常 通信 下 信道 


带宽 足够 ， 了 到 5 代表 网 络 流 ，5j 到 了 之 


间 的 链 路 容量 代表 交换 机 节点 S 剩余 的 流 表 空间 的 大 小 。 由 此 


建 模 ， 问 题 求解 便 可 抽象 为 : $ 到 了 之 间 的 最 大 流 是 否 等 于 


E^, ARMET Fold-Fulkerson05 算 法 解决 ， 限 于 篇 幅 所 限 ， 


进 , 交 换 机 流 表 空间 逐 漳 
因此 本 文 引 入 了 一 种 监 


JF 


图 4 所 示 。 
完成 后 , 系统 
网 络 特征 ， 并 用 GHSOM 
受害 者 的 卫 地 
有 DDoS 攻击 受害 者 ， 系 统 便 会 
前 细 粒 度 的 监控 流 表 项 ， 而 


DDoS Jii 


ak 


便 会 周期 性 提 


Y. 


FH] 


Bt, ASIA EE rS n? 
在 算法 2 中 , ARSCH 
本 文 利用 Trie 树 存储 网 络 监控 节 


个 节点 代表 每 一 个 监 


WAKI 
算法 对 其 


网 络 范 围 较 大 ， 则 随 着 网 络 通 信 的 推 
TES 
控 流 表 项 自 ; 
其 基本 思路 为 : 逐次 迭代 所 产生 的 监控 流 表 ] 


\ 想 ， 如 
硕 下 发 


项 所 审查 的 IP dd Et Br 
分 析 分 类 以 检 出 含 
LEE. 4; GHSOM 判定 该 地 址 中 


j 粗 粒度 的 监控 流 表 项 


于 那些 有 较 高 可 能 怕 
日 粒度 的 监控 流 表 项 。 
的 方式 逐 ee 


dx UBI 


元 
潜在 
x 
EZ 
出 现 受 害 者 


寺中 每 一 
。 系 统 提 取 
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录用 稿 


d 的 四 


元 流量 特征 并 利用 


GHSOM 算法 对 四 元 流量 特征 分 析 并 


分 类 ， 即 计算 C,(d). 一旦 C,(d)= False ， 则 系统 判定 全 Bt 
d 中 没有 DDoS 攻击 受害 者 ;而 一 旦 d 的 兄弟 节点 Sib(d) 也 被 


判定 为 False ， 则 系统 会 
代替 d i Sib(d) 的 监控 流 表 ] 
C,(d)=True , 则 地 址 段 a H 
统 会 将 d 的 监控 流 表 项 分 裂 成 d 


以 进 


其 父 节 点 Parent(d) 的 监控 流 表 项 


项 以 节省 交换 机 流 表 空间 。fT 
可 能 存在 潜在 受害 者 IP, 


—H 
此 系 


的 两 个 子 节点 的 监控 流 表 项 
步 减 小 监控 粒度 。 同 时 ， 由 于 过 大 的 监控 粒度 变更 将 会 


增 大 系统 检 出 受害 者 P 的 模糊 性 ， 进 而 造成 更 高 的 误 报 率 ,所 
以 本 文 规定 以 lbit 的 大 小 减 小 或 扩大 监控 粒度 。 


算法 2 


监控 流 表 项 粒度 自 适 应 变化 算法 


算法 1 受害 者 检测 过 程 监控 流 表 项 自 适 应 算法 (D) 


1 D : 及 中 监控 流 表 项 审查 的 潜在 受害 者 IP 地 址 段 
2. while 1 do 
3: for all d € D do 
4 collect packet statistics features £ (d) 
use victim classifier C, to calculate C, (d) to decide 
whether d is under attack or not; 
6 end for 
for d in D do 
if C, (d) — False then and C, (Sib(d)) — False 
Contraction : add monitor rule for victim ranges Parent (d), 
remove monitor rules for victim range d and Sib (d); 
10 end if 
11 if C, (d) = False then and G (d) != 32 
12 Refinement : add monitor rules for the victim range Child (d), 
remove monitor rules for victim range d; 
13 end if 
14 end for 


15 if Refined Rule Set Infeasible? then 


return list of victim ranges with C, (d) — True 


17: end if 


18: end 


4 


while 


可 行 性 分 析 与 仿真 实验 
本 章 主 要 从 检测 算法 中 监 ] 


空 粒度 自 


适应 变化 6 


合理 性 


、 四 


元 组 网 络 流 特 征 的 可 行 性 、DDoS 攻击 检测 实验 结果 以 及 检测 


算法 对 于 控制 器 的 开销 四 个 方 
OpenDayLight (Helium) 12:1 
攻击 检测 模块 ， 攻 击 者 与 被 攻击 者 网 络 ] 


用 图 4 所 示 的 网 络 拓 扑 完 成 了 实验 的 通 


4 


面 进行 分 析 。 实 验 中 ， 
i| 2525 cr OpenFlow 1.3 开发 了 DDoS 
实际 主机 组 成 ， 且 


本 文通 过 


信 数 据 交 互 、 采 集 和 


DDoS 攻击 检测 过 程 。 为 了 验证 本 文 检测 方案 在 真实 网 络 场景 


中 的 DDoS 攻击 检测 效果 ， 
击 软件 ， 通 过 精心 构造 数据 包 实际 产生 了 


=: 


四 种 网 络 流 ( 一 种 攻击 流 和 三 种 正常 
通过 随机 混合 NI Na 和 Ns3 来 模拟 正常 
络 流 , 且 训 练 与 检测 分 类 所 | 


常 网络 通 
数据 参考 WIDE 项 目 


在 部 分 攻击 者 主机 中 安装 LOIC K 


As, Ns NMAN, 


WO. 具体 描述 参见 表 2. 


盲 过 程 中 的 网 


16] 


,由 ICMP、 


TCP 和 UDP 三 种 协议 按照 10: 80: 10 比例 混合 1 
时 , 为 全 面 评估 检测 算法 性 能 , 实验 中 共 模 拟 了 三 种 攻击 方式 ， 


受害 者 
含 目 标 1， 


目标 1、2 和 3 均 位 于 不 同 网 


iT 成。 与 此 同 


段 。 方 式 一 攻击 的 对 象 仅 包 


方式 二 攻击 的 对 象 包含 


含 目标 1、 
000 次 。 


目标 2 和 目标 3， 且 三 种 攻 了 


目标 1 和 目标 2, 方式 三 则 包 
方式 总 攻击 次 数 为 2 
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K 超 ， 等 : SDN 场景 中 基于 双向 流量 特征 的 DDoS 攻击 检测 方法 
未 被 攻击 对 象 OpenFlow 交 换 机 1 
e 
R2 
二 
OpenFlow 交 换 机 3 
目标 3 
普通 主机 攻击 者 所 在 网 络 
被 攻击 网 络 
OpenFlow 交 换 机 2 
图 4 实验 拓扑 图 
表 2 实验 中 网 络 流 具 体 描述 
网 络 流 有 具体 描述 


DDoS 攻击 流 A 


随机 选择 N 个 源 IP 地 址 向 受害 者 发 送 网 络 包 ， 且 保 


70kbps) 


MME — IP 向 另 


高 速率 正常 突 发 


大 流量 Ni 


HN, 


N; 


证 每 个 源 IP 
区 间 中 ; 与 


电 址 的 发 包 速 率 随机 化 在 (30kbps， 


比 同时 ， 
4kbps) 


区 间 中 。 


(1kbps, 


保证 收 包 速 率 随 机 化 在 


的 IP 发 送 网 络 包 ， 保 说 


FE 源 端 发 


包 和 收 包 的 速率 均 随机 化 在 (300mbps，700mbps) 


从 任 一 源 【* 向 另 
正常 非 对 称 小 流 包 速 率 随机 化 在 (30kbps，70kbps) 


速率 随机 化 在 (1kbps，4kbps) 
包 的 源 IP 数量 不 超过 50 个 。 
包 和 收 包 的 速率 均 


的 中 地 
正常 对 称 小 流量 与 Na 类 似 ， 


随机 化 在 (30kbps，70kbps) 


之 间 。 
目的 IP 发 送 网 络 包 ， 保 证 源 端 发 
区 间 中 ， 且 收 包 
XH, HE 


ra 
性 一 


x 别 在 于 源 端 发 


区 间 中 。 


4.1 
析 


为 分 析 本 文 四 元 纪 
A, ATEM 
1 为 DDoS Ji 
100 个 IP 地 址 作为 ] 


其 网 络 前 缀 长 


改 击 者 。 
度 是 4 ， 则 受害 


在 实验 中 ， 本 文 对 比分 析 了 两 种 不 


| 过 程 作 了 详细 分 析 。 方 式 一 中 ， 本 文选 取 
二 受害 者 ， 从 攻击 者 网 络 Networkl 中 随机 选取 
段 定 包含 受害 者 的 卫 网 段 为 IP， 
针 者 监控 网 段 可 描述 为 :IP /a。 

同 的 特征 组 合 的 检测 效果 ， 


四 元 组 特征 可 行 性 分 析 及 监控 粒度 自 适 应 改变 合理 性 分 


网络 流 特征 的 可 行 性 ， 本 节 以 攻击 方式 


标 


8). {Dip _PC,D;, -BC },{ Dip -PC , Dip -BC , Dp - PCA, 


Dy, BCA}, XARRI 


F 组 合 区 别 在 于 是 否 考虑 发 生 DDoS K 


击 时 的 双向 流量 特征 差异 。 实 验 中 对 网 络 流 周期 性 提取 四 元 组 


特征 ， 取 样 周 


LEN 3 s 


D, =0.65,T, 


0.1/ A +0.0014). IE AERA ALS 
的 检测 中 是 一 个 难点 ， 


=0.03 ， 


且 学 习 速 率 6(1) ur 


期 可 由 系统 管理 员 根 据 实际 情况 自行 调节 ， 本 
。 对 于 GHSOM 算法 的 参数 设置 如 


PB: 


为 


与 异常 攻击 流 的 区 分 在 以 往 


大 


此 为 了 模拟 正常 


突 发 大 流量 的 场景 ， 


实验 中 适当 增 大 Ni 在 正常 流 中 所 占 的 比例 ， 分 别 用 两 种 不 同 
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录用 稿 E 超 ， 等 : SDN 场景 中 基于 双向 流量 特征 的 DDoS 攻击 检测 方法 


的 特征 组 合作 检测 分 析 。 本 节 截 取 了 DDoS 攻击 发 生 时 刻 (0-70s) ” 见 ， 随 着 监控 网 络 范 围 的 逐步 缩小 ， 受 害 者 检 出 率 也 在 逐步 提 
高 。 这 是 因为 一 旦 多 道 网 络 流 被 单一 的 监控 流 表 项 监控 ， 则 系 
统 会 很 难 分 辨 出 攻击 流 A 和 正常 非 对 称 小 流量 N，， 这 也 一 定 
程度 上 印证 了 本 文 的 监控 流 表 项 生成 策略 的 正确 性 ， 即 : 监控 
粒度 越 小 ， 检 出 率 越 高 。 同 时 ， 从 结果 上 看 GHSOM 在 特征 分 
两 种 特征 的 变化 趋势 图 。 从 图 5 中 清晰 可 见 ， 突 发 正常 大 流量 。 类 上 效果 较 好 ,使 用 四 特征 时 的 DDoS 检 出 率 明 显 优 于 二 特征 ， 
N 与 攻击 流 A 在 单 向 流 特征 上 区 分 不 明显 ， 而 双向 流 特征 的 。” 当 使 用 4 特征 组 合 且 网 络 前 缀 长度 仅 为 16 时 ， 受 害 者 检 出 率 
引入 使 得 四 特征 组 合 可 更 好 的 区 分 出 高 速率 正常 突 发 大 流量 ”就 已 大 于 80%， 并 且 漏 报 率 为 零 。 

Ny 和 攻击 流 A， 因 此 四 特征 组 合 在 受害 者 检 出 率 上 要 优 于 二 


的 特征 趋势 。 由 于 另外 D BC, Dip _ BCA 特征 的 趋势 大 至 


分 别 与 Dip -PC 与 Dip -PCA 类似, 限于 篇 幅 ， 所 以 仅 展示 前 


1 
特征 组 合 ， 这 也 一 定 程度 上 印证 了 四 特征 组 合 的 可 行 性 。 d | 
o. 
0.77 
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et Pe Prefix Length 
加 : Victim Detection 
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NIAI A ER Vie VV PX TYYS . RON 


EMI 
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对 于 本 文 DDoS 检测 算法 而 言 ， 一 旦 检 出 受害 者 ， 则 系统 
判定 此 刻 网 络 正 遭 受 DDoS 攻击 ， 因 此 受害 者 的 检测 准确 性 十 


分 关键 。 因 此 本 节 主 要 分 析 检 测算 法 对 于 三 种 攻击 方式 的 检测 
DE 性 能 ， 并 与 文献 [7] 的 算法 过 程 做 对 比分 析 ， 具 体 实验 结果 如 表 

med 3 所 示 。 
Y 由 表 3 结果 可 知 ， 本 文 DDoS 检测 方案 在 整体 检测 率 上 稍 
A 优 于 文献 [7], 这 主要 是 由 于 文献 [7] 实 验 拓扑 中 受害 者 网 络 较 小 ， 
所 以 在 控制 器 下 发 监控 流 表 项 时 总 是 默认 OpenFlow 交换 机 


s 


TCAM 表 空 间 充足 ， 监 控 流 表 项 总 是 能 成 功 安装 于 交换 机 中 。 


CERTE 


036 51 117 HUSSASU r3" 51 54 i i 63 i 69 而 本 文 为 了 模拟 实际 网 络 环境 ， 受 害 者 网 络 范围 较 大 (超过 100 
ids 台 主 机 且 网 段 分 布 不 均匀 )， 随 着 检测 算法 的 选 代 运 行 ,交换 机 

Es Æ Dip _ PCA 特征 效果 TCAM ÏR zx RIAL. KEE e s br SE EAR 

难 。 而 文献 [7] 的 算法 未 考虑 监控 流 表 项 的 自 适应 粒度 改变 过 程 ， 


不 同 网 络 前 级 下 结合 上 述 两 种 不 同 特征 组 合 ， 并 利用 因此 在 DDoS 检 出 率 上 略 差 于 本 文 。 同 时 ， 从 实验 结果 可 知 ， 
GHSOM 算法 检测 受害 者 的 实验 结果 如 图 6 所 示 。 图 中 清晰 可 本 文 的 四 元 组 网 络 流 特征 可 以 精确 地 检 出 受害 者 。 


表 3 三 种 攻击 方式 受害 者 检测 效果 


攻击 对 象 . f . B 文献 [7] 七 元 
” ”四 元 组 检测 四 元 组 检测 四 元 组 平均 文献 [7] 七 元 组 文献 [7] 七 元 组 
攻击 方式 攻击 次 数 Nm f 组 平均 检 
标 1 标 2 目标 3 次 数 率 /% 检测 率 /% ”检测 次 数 检测 率 /% 
测 率 /% 
方式 1 V 650 627 96.5 606 93.2 
方式 2 4 J 650 623 95.8 96.20 574 88.3 90.7 
方式 3 " 4 4 700 675 96.4 634 90.5 


图 7 上 图 显示 了 本 文 检 测 方法 和 文献 [7] 检 测 方法 在 交换 机 ” 表 项 空间 大 幅度 减 小 ， 不 利于 后 续 检 测 过 程 的 推进 ， 而 本 文 检 
TCAM 表 项 的 变化 趋势 图 。 图 中 清晰 可 见 ，8 s 之 后 ， 文 献 [7] ”” 测 方法 由 于 存在 监控 表 表 项 的 粒度 自 适应 过 程 ， 因 而 对 交换 机 
的 算法 对 于 交换 机 TCAM 表 项 的 消耗 基本 呈 线 性 增长 态势 , 因 TCAM 表 空 间 消耗 相 比 文献 [7] 要 小 很 多 。 

而 随 着 通信 过 程 的 进行 ， 流 表 项 逐渐 增多 ， 导 致 交换 机 TCAM 为 了 尽 可 能 减 小 误 报 率 ， 本 文 的 检测 方法 在 逐次 迭代 过 程 
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录用 稿 K 33, #: SDN rriro o DDoS 攻击 检测 方法 
中 将 会 消耗 一 定 的 交换 机 流 表 空间 用 于 更 细 粒 度 的 监控 网 络 资 入 了 双向 流速 率 特征 ， 更 有 效 区 分 了 大 速率 正常 突 发 流 和 
源 。 在 逐次 迭代 调整 过 程 中 ， 本 文 以 1bit 为 单位 来 调整 监控 粒 ”DDoS 攻击 流 。 同 时 ， 本 文 研究 了 如 何 通过 自 适应 改变 交换 机 
度 。 图 7 下 图 清晰 可 见 ， 本 文 的 检测 算法 对 于 受害 者 的 检测 最 监控 流 表 项 粒度 以 节省 OpenFlow 交换 机 宝贵 的 流 表 空 间 。 仿 
终 总 是 可 以 定位 在 一 台 或 几 台 主机 之 间 ， 检 出 率 较 高 ， 且 随 着 真实 验 结果 表明 ， 本 文 的 四 元 组 特征 及 检测 方案 以 接近 96% 的 
算法 迭代 过 程 的 推进 ，TCAM 流 表 空 间 剩 余 空间 逐渐 减 小 , 监 ” DDoS 高 攻击 检 出 率 的 同时 保证 了 对 控制 器 造成 的 开销 较 小 。 
控 网 段 的 细 化 也 导致 后 续 寻 找 潜在 受害 者 的 迭代 次 数 逐 渐 减 小 。 然而 由 于 实验 环境 的 限制 ， 本 文 实验 环境 下 受害 者 和 攻击 者 的 
综 上 所 述 ， 本 文 所 提出 的 DDoS 攻击 检测 算法 在 仿真 场景 中 能 网络 大 小 仍然 无 法 与 实际 网 络 环境 相提并论 ， 所 以 对 于 未 来 的 
够 以 接近 96% 的 检测 率 检 出 DDoS 攻击 ， 且 对 于 交换 机 TCAM ”研究 工作 ， 可 集中 在 以 下 几 点 : a) 在 实际 较 大 规模 网 络 场景 中 
表 项 的 消耗 是 可 接受 的 。 对 本 文 的 算法 进行 验证 ; b) 对 于 本 文 而 言 ， 监 控 流 表 项 粒度 的 

自 适应 调整 基本 单位 为 1 bt， 然 而 为 了 进一步 加 快 检测 速度 其 

粒度 大 小 的 自 适 应 动态 调整 策略 值得 考虑 ，c) 追 踪 到 受害 者 之 
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算法 开销 分 析 
本 文 DDoS 攻击 检测 算法 的 开销 主要 包括 训练 和 检测 两 个 
段 。 训 练 阶段 可 在 线 下 完成 ， 因 此 训练 过 程 对 于 控制 器 的 性 
开销 可 以 忽略 。 检 测 阶 段 复杂 度 主 要 受 待 检测 目标 IP 地 址 
量 影响 ， 在 本 实验 中 以 监控 网 段 中 具体 的 主机 数量 而 定 。 对 
每 一 次 检测 过 程 而 言 ， 其 时 间 开 销 受 到 四 元 组 特征 提取 和 
影响 。 四 元 组 特征 提取 过 程 涉 及 前 后 
特征 数据 的 比较 ， 若 每 个 周期 提取 个 数据 包 ， 则 最 终 处 理 
数据 包 共 为 2N， 而 GHSOM 算法 的 匹配 主要 受 神 
过 程 影响 ， 其 数量 远 少 于 受 检测 目标 IP 数量 。 对 于 本 文 DDoS 
测算 法 对 于 控制 器 的 CPU 消耗 如 图 8 所 示 。 

经 过 多 次 测试 , 本 文 检测 算法 对 于 控制 器 的 CPU 带 来 的 额 
开销 并 不 大 ， 在 5%~9% 间 ， 为 了 保证 SDN 网 络 的 安全 性 ， 
属于 可 接受 的 开销 范围 。 
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在 基于 OpenFlow 的 SDN 网 络 中 ， 本 文 研究 了 如 何 利 用 
制 器 集中 控制 、 可 编程 的 优势 检 出 DDoS 攻击 。 本 文 引 


Yit 


后 ， 


考虑 利用 SDN 的 流 表 特 性 进行 溯源 。 
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图 8 控制 器 CPU 开销 图 
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